Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner SHeur.CRDK + .CLBO + Agent (https://www.trojaner-board.de/63969-trojaner-sheur-crdk-clbo-agent.html)

stellara 08.11.2008 18:33
Trojaner SHeur.CRDK + .CLBO + Agent
 
Hallo zusammen :)

Seit ein paar Tagen habe ich ein Virenproblem, speziell, Trojaner auf meinem Laptop. Ich benutze Windows XP Prof, SP3, AVG Anti-Virus free (v. 8.0.175).
Ende Oktober (24.) meldete AVG zweimal "Trojan horse psw_generic_c.lp" in einer .rar Datei, und "SHeur.CLBO" in einer anderen .rar Datei. Diese Dateien habe ich in quarantäne verschoben, danach nochmal einen System Scan gemacht, der nichts zu melden hatte.
Am nächsten Tag dasselbe, wieder in Quarantäne, dann war's erstmal okay.

Am 4.11. fand AVG dann "Trojan Horse SHeur.CRKD" in folgenden Dateien:

C:\Programme\FlashGet\updates.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].ca
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].cab:\updates.exe

Alles in Quarantäne verschoben.
Gestern fand AVG "Trojan horse SHeur.CRDK" hier:

C:\System Volume Information\_restore{0C045E9B-C958-4E96-B847-9213C38B6DAF}\RP80\A0013428.exe

Ebenfalls in Quarantäne. Dann habe ich alle vier Dateien aus der Quarantäne gelöscht (Internet aus, SWH aus, Dateien gelöscht, CCleaner laufen lassen, Neustart, SWH an, Internet an).
HiJackThis habe ich danach laufen lassen:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:27, on 08.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219924901378
O17 - HKLM\System\CCS\Services\Tcpip\..\{22F779A5-1700-4372-B0B3-AA33499BCEA4}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6EAEFB-01C5-4A1A-8FB8-446E20827B39}: NameServer = 192.168.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5462 bytes
Dieses Log habe ich bei HiJackThis.de hochgeladen und analysiert, da kamen keine Warnungen (allerdings muss ich mich hier voll auf deren Beurteilung verlassen, ich kenne mich da leider nicht so aus.)

Jetzt läuft AVG gerade wieder durch und findet "Trojan Horse Agent_r.EK" hier:

C:\WINDOWS\system32\msbios.dll (Quarantäne)


Habe ich das soweit richtig gemacht, bzw wie werde ich das alles wieder los?
Danke für die Hilfe!

Silent sharK 08.11.2008 18:39
Hi,

Das HijackThis Logfile ist sauber.
Führe aber bitte noch folgende Schritte aus:

1.)
MalwareBytes Anti-Malware:

  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
http://saved.im/ndc5njj4d2lr/entfernen.png
  • poste das entstandene Logfile

2.)
Secunia PSI:
  • Besuche bitte diese Seite: Secunia PSI
  • Klicke nun auf "Start Now".
  • Lass anschließend dein System scannen.
  • Lade dir alle fehlenden Updates.

3.)
Windows-Update:

=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.

stellara 08.11.2008 20:28
Danke silent shark, für die schnelle Hilfe!

1. MalwareBytes Log

Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1334
Windows 5.1.2600 Service Pack 3

08.11.2008 18:41:17
mbam-log-2008-11-08 (18-41-17).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 94241
Laufzeit: 41 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
2. Secunia PSI laufen gelassen, geupdatet

3. Windows-Updates gesucht, nichts wichtiges gefunden.

______________________________________________________


AVG hat inzwischen (5.37h GMT) fertig gescannt und folgendes gefunden:

# "Trojan Horse Agent_r.EK" : C:\WINDOWS\system32\msbios.dll (Quarantäne)
# "Virus found Win32/Patched" : C:\WINDOWS\system32\sens.dll (Quarantäne)
# "Trojan Horse IRC/Backdoor.SdBot4.GSD" : E:\files\andere\Winamp\WinAMP Patch\Winamp5.0+keymaker_NGEN.exe (Quarantäne)

Silent sharK 08.11.2008 20:31
Zitat:
E:\files\andere\Winamp\WinAMP Patch\Winamp5.0+keymaker_NGEN.exe
Das darf doch nicht wahr sein, oder? :pfui:
Wenn du den ausgeführt hast, gilt für dich das:
http://www.trojaner-board.de/51262-a...sicherung.html

stellara 08.11.2008 20:36
:( ich bin ziemlich sicher, dass ich das nicht ausgeführt habe... 100% aber nicht.
Gibt es noch einen anderen Weg? Ich bin gerade im Ausland und kann daher nicht neuinstallieren.

Silent sharK 08.11.2008 20:37
Wer munter alles saugt und auch noch illegale Tools zum Stehlen von Software nutzt, ist selbst Schuld.

Tut mir Leid.

stellara 08.11.2008 20:41
Ich versteh dich, aber man muss auch nicht gleich alle über einen Kamm scheren. Meine Programme in dem Ordner habe ich von meinem Cousin, wie der sie bekommen hat, keine Ahnung, der wird sie wahrscheinlich gesaugt haben. Ich mach das nicht.
Trotzdem danke.

Silent sharK 08.11.2008 20:43
Vorallem, wenn es sich um Cracks von Programmen handelt, die man auch als Freeware Version installieren kann..

mfg

stellara 08.11.2008 20:48
Ich hab ja die freeware Version laufen, deshalb bin ich ziemlich sicher dass ich das da nie angerührt hab. Ich schmeiß es runter, vielleicht hilft ja das. :headbang:

Silent sharK 08.11.2008 20:51
Wenn es einmal aktiviert wurde, kannst du mit Sicherheit davon ausgehen, das dein System kompromittiert ist.

stellara 08.11.2008 20:54
Ich nehme an, das werde ich bald merken. Danke dir, trotzdem :)

Silent sharK 08.11.2008 20:59
Kein Problem. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131